专利名称:基于定义和应用网络管理意图提供网络管理的方法和系统的制作方法
技术领域:
本PCT申请要求2006年9月5日提交的美国专利申请第11/470,240 号的优先权,并且通过引用将其结合于此。
背景技术:
大的网络维护通常是一个正在进行的、易出错且艰难的过程,其中, 网络中的改变要求跨越支持该网络的装置的实质性计划和庞大配置方面的 改变。这样的改变的示例包括但不限于将新的硬件或软件、新的主机或用 户添加到网络,或者类似地,包括与主机和/或用户离开网络相关联的网络 改变。
实际上,随着网络规模和复杂度的增加,越来越难以配置和维护管理 数据网络的交换机、路由器和其它网络装置。网络管理员必须不仅要考虑 网络是怎样设计的和网络的配置,而且要考虑支持该网络的装置彼此是怎 样进行交互(interact)的。
用于网络中的交换机端口分析器(SPAN)会话的建立的现有方法一 般在功能上受到限制,这是因为它们被实现为网络的附加件(add-ons)。 SPAN会话是目的接口与一组源接口的关联,并且被用于网络流量监控。 例如, 一种方法包括通过侦听分组对网络装置上的配置文件进行检査。 这种方法的局限在于网络装置上的配置文件不是最初配置该网络的管理员 的技术诀窍的替代。尽管网络装置中的配置文件提供了网络配置的特性, 但是它们通常并不提供网络中的配置特性背后的原因。因此,在没有完全 理解网络装置的配置特性背后的原因的情况下,网络的任何重新配置都可 能不会产生正确的或最优的配置。
并且,就网络配置随时间改变的挑战而言,网络附加件可能不会被配 置成完全被结合到网络中的每一个网络装置中,因此该网络附加件不能在用户和主机在网络内迁移进而改变网络拓扑时可靠地跟踪它们。并且,由 于用户或用户群的动态特性,即,用户能够在网络中从一个机器迁移到另 一个机器,而主机能够从一个端口迁移到另一个端口,所以,现有方法不 能跟踪用户或用户群。
鉴于以上所述,期望有用于基于动态定义与网络策略相关联的一个或 多个意图并且动态地将它们应用于一个或多个网络实体的数据网络监控和 管理的方法和系统。
图1A是用于实施本发明一个或多个实施例的整体数据网络的框图; 图1B是用于实施本发明一个或多个实施例的图1A的数据网络中的网
络装置的框图2是示出本发明一个实施例中的图1A的数据网络100中的逻辑群 层次结构的框图3是示出本发明一个实施例中的与中央控制器单元110相关联的逻 辑群层次结构数据库配置的框图4是示出根据本发明一个实施例的基于意图的网络配置和管理的流 程图5是示出根据本发明一个实施例的基于意图的网络配置和管理的流 程图;以及
图6是示出本发明一个实施例中的由支持交换插件(switchware capable)的装置执行的基于意图的网络配置和管理的流程图。
具体实施例方式
图1A是耦合到中央控制器的整体数据网络的框图,并且图1B是用于 实施本发明一个或多个实施例的图1A的数据网络中的网络装置的框图。 参考图1A至图1B,提供了一种有效地耦合到数据网络100的中央控制器 单元110。在一个实施例中,数据网络100可以包括一个或多个局域网 (LAN)或广域网(WAN),所述局域网或广域网被有效地耦合到中央控制器单元110并且受到该中央控制器单元的配置控制。
参考图1B, 一个实施例中的网络装置120包括有效地耦合到处理单 元120C的存储单元120B。在一个方面,处理单元120C可以包括一个或 多个微处理器,所述微处理器用于检索和/或存储来自存储单元120A的数 据,并且进一步地,用于执行例如被存储在存储单元120A中的指令,用 于实现一个或多个相关联的功能。还参考图1B,在一个方面,网络装置 120还设有网络接口 120D,网络接口 120D被有效地耦合到端口 120A并 且可以被配置为与数据网络100 (图1A)中的其它网络装置或客户终端 以及中央控制器单元110接口。
在一个实施例中,如以下将要进一步详细描述的,网络装置120的存 储器或存储单元120B可以被配置为存储这样的指令该指令可以由处理 单元120C执行,以执行与以下所详细描述的基于动态地定义和应用与网 络策略相关联的一个或多个意图的数据监控和管理的一个或多个实施例相 关联的一个或多个功能。
还参考图1B,尽管示出了网络装置120具有一个存储单元120B、 一 个处理单元120C、 一个网络接口 120D和一个端口 120A,但是在本发明 的范围以内,网络装置120可以设有多个存储单元(例如,包括只读存储 器、随机存取存储器等的多个存储装置)、多个处理单元(诸如,例如分 别具有一个或多个专用功能的多个微处理器)和被有效地耦合到图1A中 所示的数据网络100的一个或多个其它网络装置和客户装置的附加网络接 口和端口。
更具体而言,在一个实施例中,中央控制器单元iio可以被配置为完 全控制数据网络100内的网络装置(例如,图1B中所示的网络装置120 或多个这样的网络装置120)——即,支持网络100的网络装置。例如, 一个实施例中的中央控制器单元110可以负责VLAN中继协议(VTP)的 配置,VLAN中继协议是用来规定数据网络IOO中的物理网络上的每个逻 辑网络(VLAN)的覆盖的机制。
还参考图1A至图1B,在一个实施例中,网络装置120的端口 120A 以及连接到端口 120A的客户或用户终端可以以树型数据结构表示。实际上,可以产生层次结构的物理群树来表示网络拓扑。并且,物理群树中的 节点可以被配置为表示诸如位置、装置、属性之类的抽象概念,其中,节
点映射到网络ioo中的装置的物理端口。 一个实施例中的逻辑群树可以表
示诸如用户种类和装置种类之类的客户端群,其中,逻辑群树中的节点映 射到客户端。
图2是示出本发明一个实施例中的图1A的数据网络100中的逻辑群 层次结构的框图。参考该图,在默认群210下,有3个逻辑群,包括雇 员群220、经理(contractor)群230和各种装置240。并且,这些群中的 每一个群又包括另外的成员。例如,人力资源221和工程师222是雇员群 220的成员,而经理1 231和经理2 232是经理群230的成员。此外,从图 2可以看出,嗅探器241和打印机242是各种装置240群的成员。此外, 还可以看出,嗅探器241还包括几个成员,包括嗅探器1 241A和嗅探 器2 241B。
以这种方式,在本发明的一个实施例中,每个网络装置、用户、客户 终端或主机都可以根据网络级配置(例如,根据高级意图)而被映射到层 次结构和逻辑群中。并且,在本发明的范围内,中央控制器单元110可以 被配置为监控作为逻辑群的受监控流量的源和目的地两者,并且因此考虑 用于受监控流量群的目的地的动态逻辑群成员资格,进一步被配置为当受 监控流量的目的地动态改变时修改实际的网络配置。
在一个实施例中,监控网络100中的流量的中央控制器单元IIO可以 被配置为将网络100中的用户或主机的一个或多个属性应用到层次结构中 的适当的群,从而使得网络拓扑中的改变被中央控制器单元110连续监 控,并且被动态配置为在群层次结构中应用与该网络拓扑中的改变相关联 的适当的网络属性。
物理群和逻辑群两者都具有当端口变成群的成员时可以被应用到所述 端口或经由所述端口连接的系统的属性。然而,物理群包含影响进出端口 的所有通信的属性,例如,速度、双工、风暴控制设置。并且,物理群属 性还提供这样的规则,经由端口连接的用户的逻辑群通过这些规则而被选 择。另一方面,逻辑群的属性未必影响进出到一个或多个网络或系统的端
8口的所有通信。
逻辑群属性的示例例如包括VLAN和访问控制项(ACE)和网络监 控参数。实际上,因为逻辑群具有的属性并不物理上影响该端口,因此不 影响通过端口的所有通信,端口可以同时是一个以上逻辑群的成员。与此 形成对照,每个端口只是一个物理群的成员,这是因为物理群的属性影响 通过该端口的所有通信。
端口上的逻辑群成员资格是这样的机制,涉及附接的网络客户端的端 口设置通过该机制而被动态应用于考虑中的端口。在一个方面,可以通过 端口、 MAC地址,通过认证或通过话音-VLAN来定义逻辑群成员资格。 即,通过规定端口为其成员的那个物理群中的(或端口为其成员的那个物 理群从中继承特性的物理群中的)逻辑群成员资格规则来实现用于该端口 上的逻辑群成员资格规范的规则。
例如,为了通过端口定义逻辑群成员资格,可以通过在物理群中设置 这样的特性而在诸如接口之类的端口上设置参数,该特性规定经由具有该 特性的端口连接到网络的任何系统都是所规定的逻辑群的成员。通过 MAC地址进行的逻辑群成员资格定义可以包括可在物理群中设置的这样 的特性,该特性规定如果具有特定MAC地址的系统是在作为具有该特 性的物理群的成员或者作为继承该特性的物理群的成员的端口上检测到 的,则该系统是所规定的逻辑群的成员。MAC地址和逻辑群之间的映射 可以作为静态物理群配置数据存储在中央控制器单元110中。
在基于已认证用户来定义逻辑群成员资格的情况下,可以在物理群中 设置这样的特性,该特性规定以所规定的方式(例如,使用在网络装置被 连接到端口并且进行正EE S02.1x认证时从认证服务获得的不透明字符 串)进行认证的系统是所规定的逻辑群的成员。并且,在通过话音-VLAN 定义逻辑群成员资格的情况下,可以在物理群中设置这样的特性,该特性 规定与请求话音VLAN的交换机进行通信的任何客户端被指示使用被配 置用于该逻辑群的VLAN——然后该客户端被利用所规定的逻辑群自动认 证。
返回参考图1至图2,在一个实施例中,在每个网络装置、用户或主机被映射进层次结构树中之后,网络管理员根据管理员的意图链接节点, 以允许或拒绝网络100中的一个或多个预定动作。例如,在一个实施例 中,网络管理员的意图可以反映所规定的用户或主机具有与该网络中的 另一个或另多个所规定的用户或主机进行通信的许可。可替代地,网络管 理员的意图可以被定义为适用于所规定的或预定的逻辑群(例如,经理
230 (图2))。
在另一方面,网络管理员的意图还可以指示对网络100的客户端或端 口所期望的服务质量(QoS)、网络必须为客户端或端口提供的服务、对
特定端口或客户端的监控、在网络ioo中从给定用户到另一用户的呼叫跟
踪,或者用于管理和配置网络100的其它期望的操作或服务。在一个方 面,期望的意图可以由网络管理员在用户接口中例如通过链接树节点并且 生成用于该链接的关联特性而规定。
通过所建立的网络层次结构和所规定的网络管理员意图,当客户端例 如通过连接到网络100中的端口而进入或离开网络100时, 一个或多个可 应用的管理员意图可以被自动应用到客户端。更具体而言,可以在无需管 理员的动作或干预的情况下产生并且应用一个或多个预定的装置配置。另 一方面,与离开或进入网络100的特定客户端相关联的一个或多个意图可 以在该客户端实际离开或进入网络100之前被分别产生或标识,并且此 后,在其离开或进入网络100之后被应用到特定客户端。
以这种方式,在一个实施例中,网络管理员可以将数据网络100作为 单个实体处理,并且所规定的管理员意图可以被自动实现,例如, 一个或 多个预定的装置配置。茵此,根据本发明的各种实施例,网络管理员可以 定义所意图的服务、所允许的流量、服务质量(QoS)参数和其它网络特 征和/或配置,并且在客户端或网络装置进入或离开网络100时被动态应 用到客户端或网络装置。
图3是示出本发明一个实施例中的与中央控制器单元110相关联的逻 辑群层次结构数据库配置的框图。参考图3,在一个实施例中,与中央控 制器单元110 (图1A)相关联的数据库300可以被配置为存储所示出的 层次结构的逻辑群310。更具体而言,参考图3,与逻辑群310相关联的属性"A"被设为是与由实箭头指示所示出的许可访问控制项(Access Control Entry, ACE)相关联的参考链接。参考图3,在逻辑群中的更低 级的层次结构处,设有分别与相应属性"A"相关联的用户逻辑群320和 服务器逻辑群330。
从用户逻辑群320的属性"A"至服务器逻辑群330的属性"A"的 虚箭头和从服务器逻辑群330的属性"A"至用户逻辑群320的属性 "A"的虚箭头指示与拒绝访问控制项(ACE)相关联的参考链接。艮口, 在图3所示的配置中,在一个实施例中,中央控制器单元110 (图1A) 被配置,从而使得用户逻辑群320和服务器逻辑群330被配置为彼此不直 接进行通信。
更具体而言,在本发明的一个实施例中,并非用户逻辑群320的所有 成员都可以被配置为与服务器逻辑群330的成员进行通信。S卩,返回参考 图3,工程用户成员(工程用户)321和市场用户成员(市场用户)322未 被配置为与服务器逻辑群330的成员(例如,工程服务器(工程服务器) 331和人力资源成员(人力资源服务器)332)进行通信。参考图3,这由 从用户逻辑群320成员的各个属性"A"到服务器逻辑群330的相应成员 不存在箭头示出。
另一方面,从图3可以看出,用户逻辑群320中的人力资源成员(人 力资源用户)323具有从它的属性"A"至服务器逻辑群330的人力资源 成员(人力资源服务器)332的箭头,而服务器逻辑群330的人力资源成 员(人力资源服务器)332具有从它的属性"A"至用户逻辑群320中的 人力资源成员(人力资源用户)323的箭头。在这种情况中,用户逻辑群 320的人力资源用户323的属性"A"被与至服务器逻辑群330的人力资 源服务器成员332的许可ACE的参考链接相关联。因此,中央控制器单 元110 (图1A)被配置为将用户逻辑群320中的人力资源用户成员323的 高级意图关联到服务器逻辑群330中的人力资源服务器成员332,并且反 之亦然,从而使得影响与用户逻辑群320的人力资源用户成员323相关联 的网络拓扑或配置的任何改变被动态反映在服务器逻辑群330的人力资源 服务器成员332中。同样,影响与服务器逻辑群330的人力资源服务器成员332相关联的网络拓扑或配置的改变被动态反映在用户逻辑群320的人 力资源用户成员323中。
返回参考图3,在逻辑群层次结构的下一级中,工程用户逻辑群321 的成员分别与工程服务器逻辑群331的相应成员相关联。换言之,如图3 中由从用户逻辑群成员(软件工程用户成员321A和硬件工程用户成员 321B)的属性"A"起始至工程服务器逻辑群331的各个成员(例如,软 件工程服务器成员331A和硬件工程服务器成员331B)的实箭头所示,适 当的参考链接被与许可ACE相关联。
并且,工程服务器逻辑群331的成员(软件工程服务器成员331A和 硬件工程服务器成员331B)的各个属性"A"设有图3中所示的到工程用 户逻辑群321的各个成员(即,软件工程用户成员321A和硬件工程用户 成员321B)的实箭头,指示与许可ACE相关联的各个参考链接。
以上述方式,在本发明的一个实施例中,中央控制器单元110 (图 1A)被配置为动态管理数据网络100中的数据流,从而使得,例如,参 考图3,某些逻辑群的成员被配置为与网络100的逻辑群结构以内的相应 的其它逻辑群的成员进行通信,使得中央控制器单元110可以被配置为利 用与可归于给定逻辑群的网络中的改变相关联的高级意图来动态配置该给 定逻辑群内的成员网络装置。
在一个实施例中,中央控制器单元110被配置为管理网络100中存在 的各个用户和主机,从而使得中央控制器单元iio被配置为实现并动态维 护跨网络监控端口/流会话。因为中央控制器单元110具有该网络中的每 个用户和每个主机的消息,因此能够进行全面的网络监控并且不限于对特 定类型的网络流量的静态监控。
因为中央控制器单元110在一个实施例中可以被配置为维护两个处理 (handle)之间的监控会话,并且假定中央控制器单元110是唯一的用于 维护网络内配置的实体(因此任何时间都完全了解网络拓扑),所以中央 控制器单元110能够设立并且管理网络装置上的必要配置,以在网络改变 时在没有任何管理干预的情况下维护监控会话。上述网络改变的一些示例 包括但不限于一个以上主机中的用户认证、网络内的用户迁移、网络内的
12主机迁移以及网络拓扑改变。
以这种方式,可以向数据网络100提供中央控制器单元110,以在管
理域内配置所有的网络装置。网络管理员不是配置网络ioo中的所有网络
装置,而是针对网络配置的动态特性用高级意图配置中央控制器单元
110。中央控制器单元110进而可以被配置为动态地不断将高级意图解析 成低级执行细节,并且维护网络IOO上的每个网络装置的配置。
因此,加入或离开网络IOO的所有主机或用户都可以在中央控制器单 元110的直接监督之下。不论所使用的认证机制(例如,IEEE 802.1x)如 何,这都是有效的。在用户或主机不以用户名和/或口令进行认证的情况 下,他们以位置或MAC地址进行认证。以这种方式, 一个实施例中的中 央控制器单元110被配置为可靠地监控相关策略并且在用户和主机在受监 控和管理的网络100内迁移时将相关策略应用到用户和主机。并且,在一 个方面,未被中央控制器单元IIO跟踪的用户或主机可能不被许可进入网 络100。
图4是示出根据本发明一个实施例的基于意图的网络配置和管理的流 程图。参考图4,在步骤410,在一个实施例中,表示网络管理员的意图 的网络策略被根据物理和逻辑群的属性而确定。例如,在一个实施例中, 物理群属性表示逻辑群被选择的方式(即,例如,在网络中网络客户端如 何进行逻辑分类)。并且,逻辑群属性表示要应用到作为各个逻辑群的成 员的用户或客户端的策略,所述策略例如是网络安全和服务质量 (QoS),但不限于此。
返回参考图4,在一个实施例中,在根据网络中的逻辑群的相关属性 确定网络策略之后,在步骤420,每个属性被与相应的网络群标识符相关 联,所述网络群标识符例如是包括但不限于思科信任安全标签(Cisco Trusted Security Tag)(或称为源群标签(SGT))的群描述符。在一个 实施例中,与每个逻辑群相关联的网络群标识符可以被配置为使得在假定 数据分组流经网络100 (图1A)的情况下,网络群标识符可以被用来标 识该分组源自网络100中的哪一个逻辑群。
还参考图4,接着在步骤430,生成并且存储群表格,其中,群表格可以包括与网络100中的每个逻辑群相关联的网络群标识符。在步骤
440,所生成的群表格被发送给网络100 (图1A)中的一个或多个支持交 换插件的装置,以根据逻辑群和相关联的网络群标识符配置相关联的网络 实体或客户端进而执行相关的网络策略。
返回参考图1和图4,在一个实施例中,中央控制器单元110 (图 1A)被配置为维护网络100中的所有支持交换插件的装置,并且被进一 步用最新的群表格进行配置。并且,中央控制器单元IIO进一步可以被配 置为维护在使用由网络100的逻辑群索引的网络策略进行配置的网络中的 所有支持交换插件的装置。例如,在一个实施例中,中央控制器单元110 可以被配置为维护网络IOO的逻辑群之间的包括安全策略的二维表格。此 外,中央控制器单元IIO还可以被附加地配置为维护用于每个逻辑群要维 护的与网络IOO (图1A)的各个客户端的服务质量(QoS)的一维表格。
以这种方式,当网络策略改变发生时,中央控制器单元110可以被配 置为更新包括网络策略的群表格并且将已更新的群表格发送给网络中支持 交换插件的装置,从而使得在没有网络管理员干预的情况下已更新的或已 改变的网络策略可以基本上立即被在网络100内的各处执行。
图5是示出根据本发明一个实施例的基于意图的网络配置和管理的流 程图。参考图5,在本发明一个实施例中,在步骤510,网络策略被检 索,并且在步骤520,将网络中的逻辑群与网络策略相关联的群表格被生 成并且被发送到网络装置。在一个实施例中,网络装置包括被配置为应用 网络策略和/或监控网络100中的相关端口改变的支持交换插件的装置。
参考图5,在步骤530,确定是否检测到了任何网络端口改变。如果 没有检测到可能影响当前网络策略的网络端口中的改变,则例程针对会潜 在地引起一个或多个网络策略的相应改变的改变继续监控网络100。另一 方面,如果在步骤530检测到了网络端口改变,则在步骤540,对与检测 到的网络端口改变相关联的网络策略进行标识,并且针对与检测到的网络 端口改变相关联的网络策略,更新相应的群表格项。g卩,在一个实施例 中,中央控制器单元110 (图1A)可以被配置为针对影响现有网络策略 的改变而监控网络配置,并且在检测到网络改变之后,对维护当前网络策略和相关联的逻辑群的群表格进行更新以执行对网络100 (图1A)中的
适当的逻辑群的任何策略改变。
图6是示出本发明一个实施例中的由网络中的支持交换插件的装置执 行的基于意图的网络配置和管理的流程图。参考图6,在步骤610,从中 央控制器单元110 (图1A)接收包括与表示各个网络管理策略的各个网 络群标识符相关联的逻辑群的群表格。此后在步骤620,执行来自所接收 到的群表格的相关网络策略,从而使得当前的最新的网络策略被应用到与 对应于当前网络策略的各个逻辑群相关联的网络实体。
还参考图6,在步骤630,监控网络端口以检测诸如一个或多个客户 端进入或离开网络100的任何改变。如果网络端口的改变未被检测到,则 例程继续监控网络端口直到这样的可能影响网络策略的改变被检测到。另 一方面,如果网络端口中的改变例如通过检测客户端进入或离开网络而被 检测到,则在步骤640,对与该网络端口改变相关联的一个或多个策略进 行标识,并且此后,与己标识的策略相关联的一个或多个属性被发送给中 央控制器单元110 (图1A)。
艮口,在一个实施例中,在客户端从网络中的网络端口进入或撤出时, 对在客户端加入或离开网络的网络端口进行监控的支持交换插件的装置被 配置为对进入或离开该网络的各个新的客户端执行认证和逻辑群分类。更 具体而言,在一个实施例中,支持交换插件的装置被配置为保持对通过端 口附接在本地装置的当前用户或客户端和逻辑群分类的跟踪。并且,在一 个实施例中,支持交换插件的装置被配置为将端口信息和逻辑群分类发送 给中央控制器单元110 (图1A)。
因此,在一个实施例中,网络100 (图1A)中的支持交换插件的装 置被配置为利用本地附接的客户端的群成员资格、每个群的策略和群之间 的策略的消息,通过逻辑群对数据分组进行标识和分类。因此,在一个实 施例中,支持交换插件的装置可以被配置为维护客户端所附接的网络端口 处的网络策略。
以上述方式,根据本发明一个实施例,通过中央控制器单元IIO进行 的基于预定管理意图的动态网络配置和管理摈弃了 (render)不必要的麻烦和进行中的配置步骤,以根据客户端进入或离开网络而设立网络范围的 监控和配置。并且,当受监控的实体或监控实体在网络100内迁移时,无 需涉及网络管理员。
在一个实施例中,每个端口被指派一个物理群,但是,在每个端口上
可以指派(或实例化(instantiate)) —个或多个逻辑群。并且,在逻辑群 的情况下,属性可以涉及其它逻辑群(例如,ACL),并且这样的属性在 被应用时,会引起对多个端口的低级设置的修改。可见,在逻辑群中的高 级意图(网络级配置)和低级设置被扩展在逻辑群在其上实例化的那个端 口上之后,高级意图(网络层配置)和低级设置之间并不必须是一一对应 的关系。
因此,在一个方面,网络100中的逻辑群可以保留在诸如网络级配置 之类的基于高级意图的配置和端口之间的关系。并且,可以用通过逻辑群 的配置实现网络级配置,这是因为诸如网络级配置之类的高级意图规范到 低级端口设置的映射并不限于在用来规定意图和配置的那个端口上的设 置。
因此,本发明一个实施例中的提供动态网络配置和管理的方法包括 检索与网络中的一个或多个逻辑群相关联的一个或多个属性,根据一个或 多个检索到的属性确定一个或多个网络策略,将一个或多个逻辑群关联到 各个网络群标识符,以及生成与一个或多个网络群标识符相关联的网络群 列表。
在一个方面,网络策略可以与一个或多个网络管理意图相关联。 在另一个方面,网络策略可以包括与网络配置相关联的高级意图,其
中,高级意图可以包括一个或多个安全策略、服务质量或它们的组合。 在进一步的方面中,该方法还可以包括将网络群列表发送给一个或多
个网络实体。
在另一个实施例中,该方法还可以包括检测网络拓扑中的改变,对
与所检测到的网络拓扑中的改变相关联的一个或多个属性进行标识,并且 根据一个或多个己标识的属性更新网络群列表,其中,在一个方面,网络 拓扑中的改变可以包括客户终端进入网络或客户终端离开网络中的一个或多个。
根据另一实施例,网络拓扑中的改变可以包括网络中的网络端口改变。
在另一个方面,该方法可以包括将已更新的网络群列表应用到网络中 的一个或多个网络实体。
根据本发明另一实施例的设备包括网络接口, 一个或多个处理器被 耦合到该网络接口;用于存储指令的存储器,所述指令在由一个或多个处 理器执行时,使得一个或多个处理器检索与网络中的一个或多个逻辑群相 关联的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网 络策略,将一个或多个逻辑群关联到各个网络群标识符,并且生成与一个 或多个网络群标识符相关联的网络群列表。
根据另一实施例,提供了其上包含有处理器可读代码的一个或多个存 储装置,处理器可读代码用于对一个或多个处理器进行编程以执行用于提 供动态网络配置和管理的方法,该方法包括检索与网络中的一个或多个 逻辑群相关联的一个或多个属性,根据一个或多个检索到的属性确定一个 或多个网络策略,将一个或多个逻辑群关联到各个网络群标识符,并且生 成与一个或多个网络群标识符相关联的网络群列表。
在另一方面,该方法还包括将该网络群列表发送给一个或多个网络实体。
并且,在另一方面,该方法还可以包括检测网络拓扑中的改变,对 与所检测到的网络拓扑中的改变相关联的一个或多个属性进行标识,并且 根据一个或多个已标识的属性更新网络群列表。
在另一方面,该方法还包括将更新后的网络群列表应用到网络中的一 个或多个网络实体。
根据本发明另一实施例的提供动态网络配置和管理的系统包括用于 检索与网络中的一个或多个逻辑群相关联的一个或多个属性的装置,用于 根据一个或多个检索到的属性确定一个或多个网络策略的装置,用于将一 个或多个逻辑群关联到各个网络群标识符的装置,和用于生成与一个或多 个网络群标识符相关联的网络群列表的装置。
17上述各种处理包括在数据网络100中的软件应用程序环境中由中央控
制器单元110执行的处理,这些处理包括结合图4至图6所述的处理和例 程,上述各种处理可以被实现为用面向对象的语言开发的计算机程序,面 向对象的语言允许以模块化对象来对复杂系统进行建模以创建代表真实世 界、物理对象和它们的相互关系的抽象概念。可以存储在中央控制器单元 110的存储器(未示出)中的执行本发明的处理所需的软件,可以由本领 域技术人员开发并且可以包括一个或多个计算机程序产品。
在不偏离本发明范围和精神的前提之下,对本发明的结构、方法和操 作进行的各种其它修改和更改对本技术领域技术人员是显而易见的。尽管 已经结合特定的优选实施例描述了本发明,但是应当理解,如权利要求所 述的本发明不应当被不适当地限制于这样的特定实施例。意欲用所附权利 要求来限定本发明的范围并且覆盖在权利要求及其等同物的范围以内的结 构和方法。
权利要求
1. 一种提供动态网络配置和管理的方法,所述方法包括以下步骤检索与网络中的一个或多个逻辑群相关联的一个或多个属性;根据一个或多个检索到的属性确定一个或多个网络策略;将所述一个或多个逻辑群关联到各个网络群标识符;以及生成与所述一个或多个网络群标识符相关联的网络群列表。
2. 根据权利要求1所述的方法,其中,所述网络策略与一个或多个网 络管理意图相关联。
3. 根据权利要求l所述的方法,其中,所述网络策略包括与网络配置 相关联的高级意图。
4. 根据权利要求3所述的方法,其中,所述高级意图包括一个或多个 安全策略、服务质量或它们的组合。
5. 根据权利要求1所述的方法,还包括将所述网络群列表发送给一个 或多个网络实体的步骤。
6. 根据权利要求1所述的方法,还包括 检测网络拓扑中的改变;对与所检测到的网络拓扑中的改变相关联的一个或多个属性进行标 识;并且根据一个或多个已标识的属性更新所述网络群列表。
7. 根据权利要求6所述的方法,其中,所述网络拓扑中的改变包括客 户终端进入所述网络或客户终端离开所述网络中的一个或多个。
8. 根据权利要求6所述的方法,其中,所述网络拓扑中的改变包括所 述网络中的网络端口改变。
9. 根据权利要求6所述的方法,还包括将已更新的网络群列表应用于 所述网络中的一个或多个网络实体的步骤。
10. —种设备,包括 网络接口;耦合到所述网络接口的一个或多个处理器;以及用于存储指令的存储器,所述指令在被所述一个或多个处理器执行 时,使得所述一个或多个处理器检索与网络中的一个或多个逻辑群相关联 的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策 略,将所述一个或多个逻辑群关联到各个网络群标识符,并且生成与一个 或多个网络群标识符相关联的网络群列表。
11. 具有包含于其上的处理器可读代码的一个或多个存储装置,所述 处理器可读代码用于对一个或多个处理器进行编程以执行用于提供动态网 络配置和管理的方法,所述方法包括检索与网络中的一个或多个逻辑群相关联的一个或多个属性; 根据一个或多个检索到的属性确定一个或多个网络策略; 将所述一个或多个逻辑群关联到各个网络群标识符;以及 生成与一个或多个网络群标识符相关联的网络群列表。
12. 根据权利要求ll所述的一个或多个存储装置,其中,所述网络策 略与一个或多个网络管理意图相关联。
13. 根据权利要求ll所述的一个或多个存储装置,其中,所述网络策 略包括与网络配置相关联的高级意图。
14. 根据权利要求13所述的一个或多个存储装置,其中,所述高级意 图包括一个或多个安全策略、服务质量或它们的组合。
15. 根据权利要求ll所述的一个或多个存储装置,其中,所述方法还 包括将所述网络群列表发送给一个或多个网络实体。
16. 根据权利要求15所述的一个或多个存储装置,其中,所述一个或 多个网络实体包括一个或多个支持交换插件的装置。
17. 根据权利要求ll所述的一个或多个存储装置,其中,所述方法还 包括检测网络拓扑中的改变,对与所检测到的网络拓扑中的改变相关联的 一个或多个属性进行标识,并且根据一个或多个已标识的属性更新所述网 络群列表。
18. 根据权利要求17所述的一个或多个存储装置,其中,所述网络拓 扑中的改变包括客户终端进入所述网络或客户终端离开所述网络中的一个 或多个。
19. 根据权利要求17所述的一个或多个存储装置,其中,所述网络拓扑中的改变包括所述网络中的网络端口改变。
20. 根据权利要求17所述的一个或多个存储装置,其中,所述方法还 包括将已更新的网络群列表应用于网络中的一个或多个网络实体。
21. —种提供动态网络配置和管理的系统,所述系统包括 用于检索与网络中的一个或多个逻辑群相关联的一个或多个属性的装置;用于根据一个或多个检索到的属性确定一个或多个网络策略的装置; 用于将所述一个或多个逻辑群关联到各个网络群标识符的装置;以及 用于生成与一个或多个网络群标识符相关联的网络群列表的装置。
全文摘要
公开了用于基于定义和应用高级管理意图提供动态网络配置和管理的方法和系统,包括检索与网络中的一个或多个逻辑群相关联的一个或多个属性,根据一个或多个检索到的属性确定一个或多个网络策略,将一个或多个逻辑群关联到各个网络群标识符,并且生成与一个或多个网络群标识符相关联的网络群列表。
文档编号G06F15/173GK101512510SQ200780032900
公开日2009年8月19日 申请日期2007年8月28日 优先权日2006年9月5日
发明者史瑞·谬西, 纳温德拉·亚达夫, 罗伯特·安德鲁斯 申请人:思科技术公司